Сегоднямногие компании, столкнувшись с экономическими сложностями, сокращают своизатраты, в том числе и на информационную безопасность. Тем не менееобостряющаяся конкурентная борьба и низкая лояльность сотрудников ведут кувеличению рисков информационной безопасности.
Небезопаснаяконфигурация беспроводной сети
Большинствороссийских компаний сейчас только формирует процессы управления информационнойбезопасностью и на этом этапе имеет типовые проблемы, вытекающие изнеэффективности существующих процессов. Какие проблемы наиболее актуальны?Использование каких технологий требует повышенного внимания к вопросаминформационной безопасности? Какие меры по защите данных должны быть приняты впервую очередь?
Современныйсклад не может обойтись без такой удобной технологии, как беспроводная сеть.Складские решения с ее применением позволяют улучшить производительностьработников склада, максимально автоматизировать учет и уменьшить число ошибокручного ввода. Однако ошибки, совершенные при развертывании и настройке сети,могут позволить беспрепятственно проникать в нее внешним злоумышленникам.Наиболее серьезной ошибкой является использование уязвимого протоколабезопасности.
Длязащиты беспроводной сети используются специальные протоколы, которые должныобеспечивать доступ к сети только тем, кому он действительно необходим, а такжеобеспечивать передачу данных только в зашифрованном виде. Одним из первыхпротоколов безопасности беспроводной сети был протокол WEP, который широкоиспользуется сейчас как во всем мире, так и в России. Еще в 2001 году впротоколе были обнаружены серьезные недостатки, позволяющие злоумышленникамлегко получить пароль для доступа к сети. Причиной широкого использования этогонебезопасного протокола является то, что он поддерживается практически всемибеспроводными устройствами и легко настраивается.
Пример.Для получения доступа к сети, защищенной протоколом WEP, злоумышленникудостаточно лишь набрать несколько команд. Незащищенная беспроводная сетьпозволит злоумышленникам незаметно осуществлять проникновение в корпоративнуюсеть компании, разместившись в припаркованном рядом со складом автомобиле.Оказавшись в корпоративной сети, злоумышленники смогут атаковать серверыкритичных информационных систем. Получив доступ к корпоративным системам,хакеры имеют возможность сделать все, что угодно: украсть финансовуюинформацию, данные клиентов, внести изменения в данные о товарных остатках,сроках годности товара, внедрить компьютерный вирус. Так, американская сетьоптовых супермаркетов BJ Warehouse Club подверглась ряду атак хакеров,проникавших в ее сеть, используя уязвимости в беспроводной сети. Результатомвзлома стало осуществление мошеннических покупок с помощью данных кредитныхкарт покупателей BJ Warehouse Club на сумму свыше $10 млн.
Настройкипо умолчанию
Самойраспространенной серьезной уязвимостью является использование паролей,установленных по умолчанию. Эта очень часто встречающееся явление,обусловленное тем, что установщики программного и аппаратного обеспечения вбольшой степени обеспокоены тем, чтобы заставить работать систему так, какположено, и очень часто при этом игнорируют информационную безопасность. Онипросто забывают сменить пароли для системных учетных записей, обладающихнаиболее полными привилегиями в системе, оставляя их такими, как они былизаданы производителем.
Важноиметь возможность проводить расследования. Защититься от атак злоумышленниковна 100% никогда не получится, поэтому необходимо всегда помнить о возможностивозникновения инцидента информационной безопасности, который нужно будетрасследовать. Иногда IТ-специалисты полностью отключают регистрацию действийпользователей, так как она создает дополнительную нагрузку на систему и требуетвнимания. В подобном случае компания может даже не узнать о том, что ее сетьбыла взломана, и конкуренты получают данные о ее деятельности более оперативно,чем руководство самой компании.
Какуправлять информационной безопасностью
Существованиенедостатков в системе обеспечения информационной безопасности связано в первуюочередь с отсутствием процессов управления в ней. Как создать эффективнуюсистему управления?
Во-первых,необходимо заручиться поддержкой руководства компании, которое должно осознатьвозможные последствия игнорирования вопросов информационной безопасности складаи выделить необходимые ресурсы. Последствиями могут быть финансовые потери,ущерб имиджу компании, проблемы с регулирующими органами. Представьте себе, чтобудет устроена атака «Отказ в обслуживании» на беспроводную сеть компании,систему управления складом, вследствие чего склад не сможет функционировать напрежнем уровне? Каков ущерб, допустим, от мошеннических операций,осуществляемых с помощью складских систем? Есть ли у руководства компаниижелание нести гражданскую, уголовную, административную, дисциплинарнуюответственность за нарушение Федерального закона «О персональных данных»?
Во-вторых,необходимо провести классификацию информации и понять, какие данные являютсянаиболее критичными и в каких системах они обрабатываются. Для каждого видаинформации определяется ее критичность – как минимум по степени конфиденциальности.Обычно компании используют такие категории, как «Общедоступная информация»,«Персональные данные», «Коммерческая тайна». Руководитель склада как владелецбизнес-процессов должен принять активное участие в процессе классификацииинформации, с которой работают его подчиненные. Понимание того, какаяинформация и какие системы нуждаются в более серь-езной защите, позволяткомпании сконцентрироваться на самом важном.
В-третьих,необходимо выявить существующие в компании проблемы информационной безопасности,для чего необходимо проведение комплексного аудита. В чем он заключается? Какизвестно, в обеспечении информационной безопасности задействованы процессы,технологии и люди. Поэтому в ходе аудита проверяются все три составляющие.
Припроведении аудита процессов анализируются существующие документы поинформационной безопасности и то, как реально функ-ционируют процессыуправления информационной безопасностью в организации. В качестве критериеваудита часто используются положения международ-ного стандарта ISO 27001:2005. Входе технического аудита выявляются уязвимости беспроводной сети, используемогокомпанией программного и аппаратного обеспечения, позволяющие злоумышленникамполучать несанкционированный доступ к данным. Очень эффективным является тестированиена возможность несанкционированного проникновения, в ходе которогоосуществляется имитация действий реальных злоумышленников.
В ходекомплексного аудита также проверяется, насколько сотрудники устойчивы к атакамзлоумышленников, использующим методы социальной инженерии. Аудиторы связываютсяс сотрудниками компании по электронной почте, телефону, через социальные сети(сайты «Однаклассники.ру», «Вконтакте.ру» и др.) и пытаются обманным способомполучить важную информацию (например, пароли для доступа к информационнымсистемам). Результатом аудита является составление перечня существующих проблемс указанием уровня риска, связанного с каждой из них. Объективно оценить уровнирисков можно как раз благодаря проведенной классификации информации и пониманию,в какой системе какая информация обрабатывается.
Какобеспечить безопасность во время кризиса
Информационнаябезопасность является затратной статьей бюджета, а сейчас на затратах принятоэкономить. В то же время бизнес не хочет терять деньги из-за проблем синформационной безопасностью. Какие существуют возможности решения этих проблемво время кризиса?
Процессыуправления информационной безопасностью. Далеко не всегда проблемаинформационной безопасности решается покупкой очередного дорогостоящего средствазащиты информации. Так, основную массу задач можно решить с помощью внедрениянеобходимых процессов управления информационной безопасностью. Наибольшеевнимание следует уделить процессам информационной безопасности, связанным суправлением логическим доступом к информационным системам (процедурыпредоставления доступа к информационным системам, блокировки учетных записейуволенных сотрудников), обнаружением и устранением уязвимостей в программномобеспечении, управлением инцидентами информационной безопасности и обучениемсотрудников. Так, например, своевременная блокировка учетных записей уволенныхсо склада сотрудников и наличие у пользователей лишь минимально возможныхпривилегий в системах уменьшат риск осуществления мошеннических операций.
Настройкасуществующих систем. Современное программное и аппаратное обеспечение включаетвстроенные механизмы обеспечения информационной безопасности, настройка которыхв соответствии с рекомендациями производителей позволит значительно повыситьуровень защищенности. Уровень защищенности информации, обеспечиваемыйвстроенными механизмами информационной безопасности систем, должен периодическипроверяться в ходе аудита информационной безопасности. Использованиепрограммного обеспечения с открытым исходным кодом. Сейчас доступны бесплатныесредства защиты информации, такие как антивирусы, межсетевые экраны, системыобнаружения вторжений и сканеры уязвимостей. Наиболее известные программныепродукты имеют многолетнюю историю и широко используются во всем мире. Единственнымих недостатком является отсутствие гарантированной технической поддержки, что,впрочем, компенсируется большим количеством профессиональных почтовых рассылоки форумов в сети интернет.
Аутсорсингинформационной безопасности. Компании доверяют свои деньги банкам, аобеспечение физической безопасности – охранным агентствам. Почему нераспространить данный подход и на информационную безопасность? Передача частифункций информационной безопасности на аутсорсинг позволит компании сократитьсвои затраты на квалифицированный персонал. На мой взгляд, передавать нааутсорсинг можно разработку и внедрение процессов управления информационнойбезопасностью и периодический контроль их эффективности, осуществляемыйпосредством комплексного аудита информационной безопасности. В этом случаеключевые процессы управления информационной безопасностью остаются полностью вкомпании и поддерживаются IТ-специалистами, руководителямибизнес-подразделений, сотрудниками отдела кадров и службы физическойбезопасности.
Беспроводнаясеть
Cеть,не использующая кабель для связи компонентов. Каналы беспроводной сетипроложены через эфир. Обратите внимание, cамыми распространенными паролями поумолчанию являются «Admin» и «Administrator», которые легко угадываютсязлоумышленниками, получившими доступ к корпоративной сети
ДОКУМЕНТ
Обратитевнимание
Устранениеобнаруживаемых в ходе аудита недостатков позволит совершенствовать системууправле-ния информационной безопасностью и держать риски на приемлемом длябизнеса уровне
Проблемыинформационной безопасности в российских компаниях:
небезопаснаяконфигурация используемого программного и аппаратного обеспечения;
использованиепаролей, установленных по умолчанию;
избыточныепривилегии у пользователей информационных систем;
возможностьиспользования для мошеннических операций учетных записей уволенных сотрудников;
невыполнениетребований по защите персональных данных;
отсутствиемер, позволяющих проводить расследование инцидентов информационнойбезопасности;
низкаяинформированность пользователей об угрозах информационной безопасности.
Читатьдальше: logistic-forum.lv/info/informacionnaja-bezopasnost#ixzz1TyzPFwHZ
Списоклитературы
Дляподготовки данной работы были использованы материалы с сайта logistic-forum.lv/